1 消除不受信任的HTML (防止XSS攻擊)

在做網站的時候，經常會提供用戶評論的功能。有些不懷好意的用戶，會搞一些腳本到評論內容中，而這些腳本可能會破壞整個頁面的行為，更嚴重的是獲取一些機要信息，此時需要清理該HTML，以避免跨站腳本cross-site scripting攻擊(XSS)。 使用jsoup HTML?Cleaner?方法進行清除，但需要指定一個可配置的?Whitelist。

String unsafe = "

Link

";

String safe = Jsoup.clean(unsafe, Whitelist.basic());

// now:

Link

說明：

XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執行，從而達到惡意攻擊用戶的特殊目的。XSS屬于被動式的攻擊，因為其被動且不好利用，所以許多人常忽略其危害性。所以我們經常只讓用戶輸入純文本的內容，但這樣用戶體驗就比較差了。

一個更好的解決方法就是使用一個富文本編輯器WYSIWYG如CKEditor?和?TinyMCE。這些可以輸出HTML并能夠讓用戶可視化編輯。雖然他們可以在客戶端進行校驗，但是這樣還不夠安全，需要在服務器端進行校驗并清除有害的HTML代碼，這樣才能確保輸入到你網站的HTML是安全的。否則，攻擊者能夠繞過客戶端的JavaScript驗證，并注入不安全的HMTL直接進入您的網站。

jsoup的whitelist清理器能夠在服務器端對用戶輸入的HTML進行過濾，只輸出一些安全的標簽和屬性。

jsoup提供了一系列的Whitelist基本配置，能夠滿足大多數要求；但如有必要，也可以進行修改，不過要小心。這個cleaner非常好用不僅可以避免XSS攻擊，還可以限制用戶可以輸入的標簽范圍。jsoup 使用一個 Whitelist 類用來對 HTML 文檔進行過濾，該類提供幾個常用方法：

操作

含義

none()

只允許包含文本信息

basic()

允許的標簽包括：a, b, blockquote, br, cite, code, dd, dl, dt, em, i, li, ol, p, pre, q, small, strike, strong, sub, sup, u, ul, 以及合適的屬性

simpleText()

只允許 b, em, i, strong, u 這些標簽

basicWithImages()

在 basic() 的基礎上增加了圖片

relaxed()

這個過濾器允許的標簽最多，包括：a, b, blockquote, br, caption, cite, code, col, colgroup, dd, dl, dt, em, h1, h2, h3, h4, h5, h6, i, img, li, ol, p, pre, q, small, strike, strong, sub, sup, table, tbody, td, tfoot, th, thead, tr, u, ul

如果這五個過濾器都無法滿足你的要求呢，例如你允許用戶插入 flash 動畫，沒關系，Whitelist 提供擴展功能，例如 whitelist.addTags("embed","object","param","span","div"); 也可調用 addAttributes 為某些元素增加屬性。

總結

以上是生活随笔為你收集整理的jsoup 去除html,Jsoup HTML 清理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。